唐屹+王志雙

摘要：建立在SSL/TLS協(xié)議基礎(chǔ)上的HTTPS協(xié)議是現(xiàn)代電子商務(wù)和電子政務(wù)的基礎(chǔ)，其安全性取決于客戶端和服務(wù)器端的SSL/TLS配置。通過分析網(wǎng)絡(luò)蹤跡和掃描數(shù)據(jù)，研究了上百家個人網(wǎng)銀的HTTPS配置情況，探討了其中的不足，定義了檢測規(guī)則，對可能造成安全隱患的SSL/TLS協(xié)議及相應(yīng)的加密套件產(chǎn)生報警日志，采取相應(yīng)的應(yīng)對措施。

關(guān)鍵詞：網(wǎng)銀安全；HTTPS；加密套件；檢測規(guī)則

DOIDOI：10.11907/rjdk.162787

中圖分類號：TP391

文獻標識碼：A 文章編號：1672-7800（2017）006-0159-04

0 引言

HTTP 協(xié)議采用明文傳輸信息，存在信息竊聽、信息篡改和信息劫持的風(fēng)險，建立在SSL/TLS基礎(chǔ)上的HTTPS（Secure Hypertext Transfer Protocol，安全超文本傳輸協(xié)議），則在不安全的網(wǎng)絡(luò)上創(chuàng)建安全信道，支持身份驗證、信息加密和完整性校驗功能，構(gòu)成現(xiàn)代電子商務(wù)、電子政務(wù)的應(yīng)用基礎(chǔ)，使得大規(guī)模互聯(lián)網(wǎng)商務(wù)運用成為可能。因此，HTTPS的安全問題一直受到網(wǎng)絡(luò)攻防雙方的關(guān)注。

與HTTPS相關(guān)的安全問題不斷涌現(xiàn)，例如心臟滴血、SSLv3 Poodle漏洞等[1-2]，即使是密碼算法，如RC4、MD5、SHA1等也面臨威脅[3-5]，而為了保持向后兼容性，低版本的SSL/TLS協(xié)議依然在服務(wù)器或瀏覽器端得到支持，使得HTTPS應(yīng)用面臨中間人攻擊，存在隱私泄漏威脅。

本文利用瀏覽器和蹤跡數(shù)據(jù)分析了網(wǎng)銀的HTTPS部署情況，通過掃描分析網(wǎng)銀HTTPS的配置狀況，發(fā)現(xiàn)個人網(wǎng)銀部署存在一些可能的安全風(fēng)險。

1 SSL/TLS協(xié)議與數(shù)字證書

1.1 SSL/TLS 協(xié)議

SSL協(xié)議由NetScape公司設(shè)計研發(fā)，1996年問世的SSL 3.0版本得到大規(guī)模應(yīng)用，然而，2014年出現(xiàn)的POODLE 攻擊威脅了SSL 3.0中所有CBC工作模式下的分組密碼算法[2]，而唯一的流密碼算法 RC4也被證實在SSL 3.0中受到威脅[3]，2015年的RFC 7568將其列入不安全而建議不使用[6]。

作為SSL的升級版，TLS由互聯(lián)網(wǎng)標準化組織ISOC負責(zé)維護，1999年發(fā)布1.0版，2006年和2008年分別發(fā)布TLS 1.1版和TLS 1.2版，而TLS 1.3版依然在修訂中。

1.2 SSL握手協(xié)議

SSL握手協(xié)議是SSL協(xié)議的兩個組成協(xié)議之一，協(xié)議允許客戶與服務(wù)器相互認證，在應(yīng)用程序通信前協(xié)商加密算法和加密密鑰。握手協(xié)議基本流程如下[7]：①客戶端發(fā)出ClientHello消息，請求建立SSL/TLS連接，并將其所支持的SSL/TLS版本以及加密套件列表發(fā)送給服務(wù)器；②服務(wù)器返回ServerHello消息，確定所采用的SSL/TLS版本并從加密套件列表中選擇一種加密套件，將它和一份服務(wù)器證書發(fā)送給客戶端；③客戶端對服務(wù)器證書進行驗證；產(chǎn)生pre_master_secret的隨機串，并使用服務(wù)器的公鑰加密并將加密后的信息發(fā)送給服務(wù)器；④客戶端與服務(wù)器端根據(jù)pre_master_secret以及客戶端與服務(wù)器的隨機數(shù)值獨立計算并加密。

握手協(xié)議的信息流是明文傳輸?shù)?，可以通過簡單的嗅探獲取握手協(xié)議協(xié)商的加密套件及服務(wù)器端的數(shù)字證書。

1.3 SSL/TLS安全威脅

與SSL/TLS 相關(guān)的安全威脅包括以下幾類：

（1） 弱密碼算法、短密鑰和偽隨機數(shù)問題。在消息摘要算法應(yīng)用方面，SSL/TLS仍然支持被認為不安全的MD5算法，已有研究表明該消息摘要算法僅用220.96的算法復(fù)雜度就可以找到碰撞，該攻擊在普通計算機上運行也只需要很短的時間[4]；在數(shù)據(jù)加密傳輸算法應(yīng)用方面，加密套件中仍然使用RC4、3DES 等算法，RC4算法容易受到區(qū)分攻擊、弱密鑰攻擊和錯誤引入攻擊，被認為是一種不安全的加密算法[3]，3DES算法只用80位密鑰長度的安全性[8]，低于目前最低的128位密鑰安全長度。

（2） 密文分析攻擊。利用密碼分組鏈（CBC）初始化向量構(gòu)造的 BEAST 攻擊[9]、利用壓縮選項構(gòu)造的 CRIME攻擊等[10]，攻擊者通過對密文的分析獲取用戶的Cookie值。

（3） 協(xié)議或密碼降級攻擊。主動攻擊者可以在協(xié)議協(xié)商過程中讓客戶端和服務(wù)器選擇最弱的密碼算法或最低的協(xié)議版本進行攻擊[2，11]，一旦攻擊成功，攻擊者就可利用弱密鑰算法或低版本協(xié)議漏洞發(fā)起進一步攻擊。

（4） 數(shù)字證書問題。數(shù)字證書在SSL/TLS中常用來驗證服務(wù)器。已有研究表明MD5簽名的證書不安全[4]，SHA1證書也面臨嚴峻的安全考驗，谷歌已發(fā)文稱該算法的攻擊成本越來越低，在數(shù)字證書中使用存在安全隱患，該算法已逐步進入淘汰狀態(tài)[12]，現(xiàn)正力推SHA2證書以取代現(xiàn)有的SHA1證書。個人網(wǎng)銀采用驗證證書（EV證書）不僅可以驗證網(wǎng)頁，還可以驗證網(wǎng)頁所對應(yīng)的管理機構(gòu)，有助于抵御網(wǎng)頁的語義攻擊[13]。

2 配置數(shù)據(jù)收集與分析

2.1 基本數(shù)據(jù)收集分析

為收集個人網(wǎng)銀HTTPS配置信息，依據(jù)銀監(jiān)會網(wǎng)站提供的大型商業(yè)銀行、股份制商業(yè)銀行以及城市商業(yè)銀行列表，依次訪問這些銀行的個人網(wǎng)上銀行登錄界面，通過對瀏覽器提供的信息和Wireshark捕獲數(shù)據(jù)包進行分析，得到該銀行的個人網(wǎng)銀使用的數(shù)字證書情況、SSL/TLS協(xié)議版本、協(xié)商出的加密套件等信息。表1列舉了截止2016年11月30日所收集的146家銀行（5家大型商業(yè)銀行、12家股份制商業(yè)銀行、129家城市商業(yè)銀行）的HTTPS基本配置情況。

2.1.1 數(shù)字證書應(yīng)用狀況及安全性分析

從證書類型來看，普通證書和EV證書各占50%。一般認為EV證書在驗證網(wǎng)頁的同時，也對網(wǎng)頁所屬的機構(gòu)進行了認證，所以安全性更高，有助于抵御針對HTTPS的語意攻擊[13]。目前安全性更高的EV證書在個人網(wǎng)銀中使用率并不是很高，而網(wǎng)上銀行對安全等級要求較高，銀行應(yīng)盡快部署安全性更高的EV證書，以增加抵抗HTTPS語義攻擊的能力，降低用戶誤入釣魚網(wǎng)站的風(fēng)險。

從數(shù)據(jù)中發(fā)現(xiàn)有56家銀行的個人網(wǎng)銀數(shù)字證書簽名哈希算法為SHA1， 而SHA1算法存在安全隱患[12]。個人網(wǎng)上銀行對網(wǎng)絡(luò)安全的等級要求較高，使用這些存在安全隱患的數(shù)字證書勢必影響個人網(wǎng)銀的安全等級，應(yīng)該逐步淘汰基于SHA1的數(shù)字證書，使用安全性更高的SHA256數(shù)字證書。

2.1.2 協(xié)議版本和加密套件的應(yīng)用狀況及安全性分析

網(wǎng)銀服務(wù)器返回的SSL協(xié)議支持的版本包括SSL3.0、TLS1.0、TLS1.1和TLS1.2，其中SSL3.0版本不安全[2]，谷歌和火狐等瀏覽器已經(jīng)禁用，但IE9仍然支持。當用戶使用IE9瀏覽器訪問個人網(wǎng)銀時，攻擊者可使用POODLE攻擊發(fā)起降級攻擊[2]，使客戶端和服務(wù)器端使用SSL3.0進行通信，從而利用SSL3.0的漏洞來獲取個人網(wǎng)銀用戶的Cookie等敏感信息。值得注意的是有6家銀行個人網(wǎng)銀測試時基于SSL 3.0的HTTPS連接，存在嚴重的安全隱患，相關(guān)銀行應(yīng)盡快升級到TLS1.0或更高的版本。

多數(shù)網(wǎng)銀的加密套件采用CBC模式的分組密碼算法，攻擊者可能針對這種CBC模式發(fā)起B(yǎng)EAST攻擊[9]，對密文分析得出用戶的敏感信息。有部分銀行還在使用3DES算法和RC4算法。3DES算法抵抗攻擊的密鑰長度不足[8]，RC4是一種不安全的密碼算法[3]，采用這些加密算法進行通信可能會破解；大多數(shù)銀行使用消息摘要算法為MD5或SHA1的加密套件， MD5算法的碰撞攻擊在普通計算機上很容易實現(xiàn)[4]，個人網(wǎng)銀使用消息摘要算法為MD5的加密套件存在很大的安全隱患。SHA1算法的攻擊成本很低[5]，應(yīng)該選用消息摘要算法為SHA256或SHA384的加密套件。

2.2 nmap掃描分析

為進一步了解個人網(wǎng)銀服務(wù)器配置的加密套件、數(shù)字證書以及Poodle漏洞情況，利用nmap工具對個人網(wǎng)銀相關(guān)的443端口進行掃描，掃描語句為：

nmap --script ssl-cert，ssl-enum-ciphers，ssl-poodle -p 443 <網(wǎng)銀URL>

nmap通過不斷重復(fù)的SSL/TLS連接，測試服務(wù)器對新的加密套件接受情況并記錄，同時依據(jù)所采用的加密套件安全性，進行由A至F評分，其中A表示安全程度最高，F(xiàn)表示安全程度最低。

使用nmap掃描器掃描了110個網(wǎng)銀入口的443端口（包含5個大型商業(yè)銀行、12個股份制商業(yè)銀行以及93個城市商業(yè)銀行），結(jié)果如下：①網(wǎng)銀采用F類的加密套件12套次，E類加密套件36套次，D類加密套件43套次；②支持SSL3.0的網(wǎng)銀入口53個；③存在疑似CVE-2014-3566的POODLE攻擊漏洞加密套件（SSLv3下的CBC加密工作模式）53套次；④使用不安全的MD5哈希函數(shù)的加密套件88套次。

掃描結(jié)果表明，部分銀行的HTTPS配置存在安全隱患，如安全程度低的加密套件、SSL3.0支持、不安全的哈希函數(shù)使用等[2-4，8]。圖1顯示一著名上市銀行的個人網(wǎng)銀服務(wù)掃描結(jié)果，發(fā)現(xiàn)該服務(wù)器支持現(xiàn)有的SSL3.0、TLS1.0、TLS1.1和TLS1.2協(xié)議，然而除了TLS1.1外，均支持匿名的DH算法。由于該加密套件不支持身份驗證，因此采用這些支持匿名DH套件組合時，可能導(dǎo)致中間人攻擊。同時，可支持的加密套件包括了不安全的56位DES算法，增加了黑客破解通信的機會。

3 對策

網(wǎng)銀HTTPS存在的主要威脅為協(xié)議或密碼的降級攻擊，尤其是SSLv3協(xié)議存在很大的安全隱患[2]，建議瀏覽器禁用SSLv3協(xié)議，但這有可能影響用戶選擇。

利用入侵檢測系統(tǒng)進行檢測報警，可以幫助安全管理員進行更細致的分析。例如，可針對SSLv3下可能引發(fā)POODLE攻擊的加密套件進行額外檢測， Snort規(guī)則如下：

依據(jù)這條規(guī)則，對某銀行的個人網(wǎng)銀進行了測試，使用IE瀏覽器訪問，開啟Wireshare進行對比檢測。結(jié)果表明，Snort檢測到了實驗中所有SSLv3下的加密套件TLS_RSA_WITH_3DES_EDE_CBC_SHA的8次SSL連接，如圖2所示（為保護隱私抹去了IP地址的中間兩位）。

4 結(jié)語

本文對個人網(wǎng)銀進行了實證分析。首先通過銀行的網(wǎng)址進入個人網(wǎng)銀頁面，通過瀏覽器顯示和Wireshark捕獲的網(wǎng)絡(luò)蹤跡對SSL/TLS握手信息進行分析；然后通過Nmap掃描工具對相應(yīng)的服務(wù)器端口進行詳細掃描，發(fā)現(xiàn)部分網(wǎng)銀可能被利用的安全隱患，并據(jù)此設(shè)計了Snort檢測規(guī)則，提出了相應(yīng)的解決方案。

參考文獻：

[1]CODENOMICON.The heartbleed bug[EB/OL].http：//heartbleed.com/.

[2]BODO MLLER，THAI DUONG，KRZYSZTOF KOTOWICZ.This POODLE bites：exploiting the SSL 3.0 fallback[EB/OL].https：//www.openssl.org/～bodo/ssl-poodle.pdf.

[3]侯整風(fēng)，孟毛廣，朱曉玲，等.RC4 流密碼算法的分析與改進[J].計算機工程與應(yīng)用，2015，51（24）：97-101.

[4]TAO XIE，DENGGUO FENG.How to find weak input differences for md5 collision attacks[EB/OL].http：//eprint.iacr.org/2009/223.pdf.

[5]BRUCE SCHNEIER.When will we see collisions for SHA-1 [EB/OL].https：//www.schneier.com/blog/archives/2012/10/when_will_we_se.html.

[6]RFC 7568-2015.Deprecating secure sockets layer version 3.0[S].2015.

[7]RFC 5246-2008.The transport layer security （TLS） protocol version 1.2[S].2008.

[8]NIST.Recommendation for key management[EB/OL].http：//csrc.nist.gov/publications/nistpubs/800-57/sp800-57-Part1-revised 2_Mar08-2007.pdf.

[9]THAI DUONG，JULIANO RIZZO.Here come the Ninjas[EB/OL].http：//netifera.com/research/beast/beast_DRAFT_0621.pdf.

[10]THAI DUONG，JULIANO RIZZO.The CRIME attack[EB/OL].https：//www.ekoparty.org/archive/2012/CRIME_ekoparty2012.pdf.

[11]STEVEN J FREAK.Another day，another serious SSL security hole[EB/OL].http：//www.zdnet.com/article/freak-another-day-another-serious-ssl-security-hole/.

[12]CHRIS PALMER.Gradually sunsetting SHA-1[EB/OL].https：//security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html.

[13]GLOBALSIGN.Compare SSL certificates[EB/OL].https：//www.globalsign.com/en/ssl/compare-ssl-certificates/.

（責(zé)任編輯：杜能鋼）

英文摘要Abstract：The HTTPS protocol which is based on SSL/TLS protocol is the basis of modern e-commerce and modem e- government，and its security depends on the SSL/TLS configurations of client and server.This work empirical studies the HTTPS protocols configurations of more than one hundred personal online banking by analyzing the network traffics and the data obtained from scan target servers port.It discusses the shortcomings of the HTTPS protocols configurations，and defines a kind of detection rule.This detection rule can generating warning logs，when using the SSL/TLS protocol and its corresponding cipher suite that may exists safety risks.

英文關(guān)鍵詞Key Words：Security of Online Banking； HTTPS； Cipher Suite； Detection Rule